コピー完了

記事TOP

WAFとは - 仕組み | ファイアウォール・IPS/IDSとの違い、種類

最終更新日:
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕組みや種類、効果、導入事例、ファイアウォールやIPS/IDSとの違いをボクシルが解説します。危険な目に合う前にWAFでリスクを低減。

多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るためには、セキュリティの強化が不可欠だとお考えなのではないでしょうか。特に最近では総合的なセキュリティの構築に注目が集まっています。

Webアプリケーションを不正な攻撃から守る、WAF(Web Application Firewall)もそのひとつ。WAFの意味や導入効果はもちろん、他のセキリュティとの違いなどを詳しく理解し、総合的なセキュリティについて考えてみましょう。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

WAFとは

WAFとはウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。Web Application Firewall(ウェブアプリケーションファイアウォール)を意味する略称で、Webアプリケーションに特化してセキュリティを堅牢にします。

ネットショッピングやネットサーフィンにおいて、ユーザー/Webサイト間のデータ送受信、SNSログインといったリクエストによって動的ページが生成されるWebサイトで保守します。

WAFとファイアウォール、IPS/IDSの違い

WAFやファイアウォール、IPS/IDSは守る対象がそれぞれ異なり、3つを組み合わせることでセキュリティ網羅的に強化できます。

WAFはWebアプリケーションの前面に配置されるという特徴を持ち「ファイアウォール」「IPS/IDS」で保護が不可能な攻撃を、アプリケーションレベルで解析することにより無効化するという役割を持っているのです。

名称 保護のレベル
ファイアウォール ネットワークレベルの保護
IPS/IDS サーバーOS/ミドルウェアレベルの保護
WAF Webアプリケーションレベルの保護

ファイアウォール、IPS/IDS、WAFには、それぞれに守備範囲と得意分野がありますが、すべてが必要なシステムです。多様化するサイバー攻撃の防御には、ファイアウォール、IPS/IDS、WAFの3つの壁を利用する、総合的なセキュリティ構築が求められています。

ファイアウォール

ファイアウォールは、ネットワークにおいて不正アクセスを防御するセキュリティです。

IPアドレスやポート番号など、通信時にやりとりされる送信先および送信元の情報から通信を許可するかどうかを判断し、内部ネットワークへの侵入を防ぐ役割を担います。

IPS/IDS

IPS/IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティであり、それぞれInstrusion Detection System(=IDS)とIntrusion Detection and Protection System(=IPS)が正式名称です。

ホスト型とネットワーク型にわかれ、防御範囲の広さが特徴です。設置場所によって役割は多少異なりますが、不正アクセスの監視、攻撃の検知および防御を行います。異常を検知すると管理者へ通知。万一の際に迅速な対応を行うことを目的として用いられます。

次の記事では、WAFの役割と特徴についてより詳しく解説しています。

WAFの仕組み

WAFの仕組みは、シグネチャやホワイトリストが認められたものであるか判断するというものです。シグネチャはアクセスのパターンを、ホワイトリストは許可するシグネチャを登録するシステムです。つまりWAFは、許可されたアクセスパターン以外の通信を拒否することで悪意ある攻撃を阻止するセキュリティだといえます。

悪意のある攻撃は、Webサイトのセキュリティ欠陥(=ぜい弱性)を狙って行われます。もっとも望ましいのは欠陥自体を修正することですが、何らかの理由で修正を行えないというケースは少なくありません。しかし、WAFを用いることで防御対策を行えます。

WAFに関して知っておきたい用語一覧はこちらをご覧ください。

WAF製品の選び方はこちらの記事をご覧ください。

WAF製品の選び方ガイドは、本記事の一番下に掲載しています。ぜひ参考になさってください。

WAFの種類

WAFには大きく3つのタイプあり、導入および運用方法の違いでアプライアンス型、ソフトフェア型、クラウド型にわかれます。

アプライアンス型

防御に必要な専用機器(=ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法です。アプライアンスの購入と設置に併せ、運用も自社で行う必要があるため、トータルコストは他のWAFと比較するともっとも高くなります。

一方でネットワークでの構築となることから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型

既存のサーバーにソフトウェアをインストールするタイプのWAF。専用機器の設置が不要のため、導入コストの削減や短期間での導入が可能です。

ただし、ソフトウェアのインストールはサーバーごとに行う必要があるため、規模とコストが比例します。システム規模の見通しを誤ると運用コストが膨らみ続けるため、導入には十分な検討が必要です。運用はアプライアンス型と同じく自社で行います。

クラウド型

クラウド型WAFはサーバーの構築や機器の購入などが不要で、ネットワークの設定変更を行えば導入できるタイプ。費用面や導入期間などを比較すると、3タイプの中でもっとも効率的な運用が行えるのがクラウド型です。

また自社での運用も不要で、予算の見通しが立てやすい点も特徴。これらのメリットからクラウド型を選択する企業が増えており、近年セキュリティ市場で急成長を遂げています。

WAFのメリット・効果

DDoS攻撃やSQLインジェクションから守る

WAFが対応できる攻撃には、DDoS攻撃、SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、ブルートフォースアタック、バッファオーバーフローなど実に多くのものがあります。

WAFは一般的なファイアウォールでは防御できない攻撃にも対応可能です。WAFの提供を行う企業が、最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebサイトを攻撃から守れます。

ぜい弱性が見つかった際の予防に

Webアプリケーションにぜい弱性が発見された場合、不正な攻撃を受けるリスクはいっそう高まります。また、オープンソースのプログラムを利用している場合など、自社では対応できないケースも考えられます。

WAFは自社ではどうにもならない状況に備えた予防策としても力を発揮します。WAFを導入していれば、根本的な解決ができるまでの間も、安心してWebアプリケーションを利用できます。

他システムで防御できない領域

悪意のある攻撃からシステムを守るセキュリティシステムはいくつか存在しますが、それぞれの防御には得意分野があり、WAFにもWAFにしか守れない領域を持っています。

WAFが専門とするのは、Webアプリケーションの領域。送信元とWebサーバーの間で通信内容を監視し、Webアプリケーションへの攻撃を未然に防ぎます。

被害を最小限に抑える

万一攻撃を受けてしまった場合、被害を最小限に抑えることもWAFには可能です。一般的に、Webサイトが攻撃によって被害を受けると、サービスを停止して復旧作業が行われます。メンテナンスの時間が長引けば長引くほど損失が拡大するため、いち早い復旧が求められます。

Webサイトが攻撃を受けると、WAFは素早い原因調査と問題の解消に貢献します。目の前にある危機を最小限の被害で食い止め、被害の拡大を防ぎます。

WAFの導入事例

攻撃遮断くん

攻撃遮断くんとは、サイバーセキュリティクラウドが提供する、サーバーへのあらゆる攻撃を遮断できるクラウド型のサーバーセキュリティサービスです。外部からの攻撃による情報の漏えいや、Web情報の改ざん、サービスの妨害などのさまざまな被害を未然に防げます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
攻撃遮断くんの資料を無料DL

NTTドコモの導入事例

会社名:NTTドコモ業種:情報・通信業
事業内容:携帯電話などの無線通信サービスなどを提供している大手移動体通信事業

課題:サーバー増加と複雑化により導入コストが増加

最大手の通信事業者のためデータセンターが複雑に混在している状態であり、サーバー自体も各所に何百台もある状況だった。そのため既存のサービスでは導入コストが膨大になってしまうことが問題に。

結果:使い放題プランの採用でコスト削減

攻撃遮断くんの「使い放題プラン」を採用により、複数の拠点に何百台ものサーバーが存在していても、1つの契約のみですべてのサーバーをまかなえて、圧倒的なコストパフォーマンスでサーバー運用およびコストの課題を解決。

その他の事例や攻撃遮断くんについて詳しくはこちらから。

シマンテック クラウド型WAF

シマンテック クラウドWAFは、Symantecが提供するSaaSASPのWAFです。
SSLサーバー証明書でウェブサイトと安全に通信ができ、ウェブサイトやウェブサイトを構成するステムのぜい弱性により起こりうる情報漏えいを防ぎます。

アピリッツ

会社名:アピリッツ業種:システムインテグレータ
事業内容:各種Webサービスの企画・運営、コンサルティング・開発・保守 他

課題:海外製品の利用でトラブルが続出していた

海外製WAFを導入、運用を行ってきたが運用面に課題があった。 再起動時に Master/Slave の切り替えが正常に行われないことが多々あったり、ファームウェアアップデートが正しくアップデートが行われずに、サービス停止を伴うトラブルが発生することがあったりしたという。さらに、日本の環境では誤検知も多く運用コストが増大していた。

効果:運用に関する諸問題を解決

誤検知やアップデートなどの問題や課題となっていたエンジニアの運用負荷を大幅に削減。検証を実施し、約 1か月で移行を完了できた。

Scutum

Scutumは月額29,800円と比較的安価で利用できるセキュアスカイ・テクノロジーが提供するWAFです。
導入サイトは2,000以上と多くの実績があり、富士キメラ総研の調査結果によると国内のSaaS型WAF市場シェア連続No.1を獲得しているサービスです。

タワーレコード

会社名:タワーレコード業種:販売
事業内容:音楽ソフト、映像ソフト、書籍、雑誌、その他、雑貨などの販売・輸入・卸 他

課題:基準値を超える数のアクセスが常態化

基準値を超えるアクセスに対応するため、フロントサーバーをオンプレミスからクラウド環境への移行を行うことになった。さらに親会社のセキュリティ基準に合わせる必要も生じ、要求事項にWAFの導入が求められていた。

効果:アクセス数増加時も誤検知がなくなった

サイト全体で行うセールやポイントキャンペーンなどによってアクセスが増えるものの、期間中も誤検知を出さずに機能している。さらに、セキュリティやWAFの詳細を理解していない経営陣に対して、WAF導入の効果を示すことが、管理画面で見られる防御ログによって可視化できるという効果も大きかった。

Symantec Endpoint Protection Small Business Edition(SEP SBE)

SEP SBEは、小規模企業のセキュリティ面のニーズを満たすように設計されています。また、生産性を損なうことなく、マルウェアおよびゼロデイ攻撃を、侵入前の段階で迅速かつ効率的に阻止します。

はとバス

会社名:タワーレコード業種:観光
事業内容:一般乗合旅客自動車運送事業、一般貸切旅客自動車運送事業、第2種旅行業
他

課題:想定外のSQLインジェクションによりサイトを閉鎖に追い込まれた
バス旅行の販売や広報でWebを活用しており、総予約数の30%強がウェブサイトを経由した申し込みだった。従来からセキュリティ対策を実施していたものの、SQLインジェクション攻撃を受けたことで、ウェブサイトの改ざんが行われ閲覧者がウイルスに感染するように仕込まれた結果、ウェブサイトを閉鎖しないといけない状態に追い込まれた。

効果:Webサイトの早急な再開
アプリケーションの修正やパッチ当て、季節の商品コンテンツへの更新という作業も含めて17日間というスピードでWebサイトを再開できた。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

WAFのおすすめサービス

WAFは種類によって導入方法や特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。おすすめのWAFサービスを紹介するので、ぜひ参考にしてください。

また、本記事で紹介しきれなかったクラウドWAFのおすすめサービスとさらなる詳細についてはこちらから無料でダウンロード可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
WAFの資料を無料DL

XG Firewall - 株式会社ジャパンコンピューターサービス

XG Firewall - 株式会社ジャパンコンピューターサービス 画像出典:XG Firewall公式サイト

  • 単一のコンソールですべてのSophos製品を管理
  • Intercept Xとのリアルタイム統合が可能
  • 大企業から教育機関まであらゆる環境に適応

XG Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
XG Firewallの資料を無料DL

AIONCLOUD - 株式会社モニタラップ

AIONCLOUD - 株式会社モニタラップ 画像出典:AIONCLOUD公式サイト

  • 強力なセキュリティでウェブサイトを保護
  • マルウェア拡大を防止
  • リーズナブルな価格でシステム構築

AIONCLOUDは、無料ではじめられるクラウドWAFサービスです。

直感的なUIでウェブサイトのトラフィックや訪問回数、攻撃などの詳細なステータスをリアルタイムに監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早いアクションで拡大を防止し、ウェブサイトスレットを学習することで未知の不正に対してもセキュリティ保護が可能です。

無料ではじめられる月間5GBまでのプランがあり、5GBを超える場合はビジネス規模に応じたプランを選択できるほか、従量課金プランもあります。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
AIONCLOUDの資料を無料DL

Deep Security(R) IT Protection Service - 株式会社シーイーシー

Deep SecurityR IT Protection Service - 株式会社シーイーシー 画像出典:Deep Security(R) IT Protection Service公式サイト

  • オールインワンでセキュリティ対策
  • セキュリティ業務の一部委託が可能、自社の負担を軽減
  • 最短3営業日で導入可能

Deep Security(R) IT Protection Serviceは、さまざまなセキュリティ対策をオールインワンで対応するクラウドサービスです。セキュリティルールやシグネチャは毎日配信され、最新の脅威に関する情報は毎週自動で生成・配布されます。一部セキュリティ業務を代行するサービスも用意されており、保護対象サーバーの設定やセキュリティ状況の調査、定例オペレーションなど自社の業務負担の軽減が期待できます。また、オプションでオートスケール機能により追加されたサーバーを保護したり、ログやアラート機能の設定も追加可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
Deep Security(R) IT Protection Service資料を無料DL

secuWAF - 株式会社セキュアイノベーション

secuWAF - 株式会社セキュアイノベーション 画像出典:secuWAF公式サイト

  • 充実したセキュリティ機能
  • WAF以外のセキュリティ対策も搭載
  • 複数のWebサイトを個別設定で保護

secuWAFは、WAF以外のセキュリティ対策もできる、包括的にWebサイトを守るクラウドWAFです。プランによっては簡易診断やマルウェアの感染をチェックする定期巡回など、WAF機能以外のセキュリティ対策も充実しています。契約プランで定められたトラフィック内であれば、複数のWebサイト保護も可能です。Webサイトごとの個別設定にも対応しているので、アプライアンス製品に近い運用もできます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
secuWAFの資料を無料DL

マネージドセキュリティサービス for Imperva Incapsula


  • 専門アナリストによるアラート分析
  • レポートでセキュリティ情報把握
  • チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
マネージドセキュリティサービス for Imperva Incapsulaの資料を無料DL

WAFの導入を検討される方へ

WAF はWebアプリケーションに特化することで優れた特徴を保有し、中でもクラウド型は導入も手軽です。またファイアウォールやIPS/IDSなど他のセキュリティと組み合わせることで、より高いセキュリティの構築が可能になることがわかりました。

情報漏えいや改ざんなどのリスクは、以前にも増して大きくなっています。甚大な損害が生じる前に、WAF導入の重要性と必要性について考えてみる必要があるのではないでしょうか。下記の記事では、導入をご検討されている方向けに、WAF製品について詳しく紹介しています。ぜひともご参考にしてくださいね!

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

WAF
選び方ガイド
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
編集部のおすすめ記事
WAFの最近更新された記事